Dass das Melden einer Datenpanne – auch Data Breach Notification genannt – unter gewissen Voraussetzungen sehr wichtig ist, kann gar nicht oft genug erwähnt werden. Wieso es außerdem von so großer Bedeutung ist, die dafür vorgeschriebene Frist von 72 Stunden einzuhalten, und was passieren kann, wenn diese versäumt wird, erfahren Sie in diesem Beitrag.
Datenpanne in Polen
Bei einer pädiatrischen Prüfung an der Medizinischen Universität Katowice in Polen hat sich eine Datenpanne ereignet. Die Studierenden wurden während dem Schreiben gefilmt und die Videoaufzeichnungen wurden versehentlich über die Lernplattform der Hochschule öffentlich zugänglich gemacht. Somit konnten nicht nur die Studierenden selbst sowie die Dozenten darauf zugreifen, sondern all jene, die für die Lehrveranstaltung registriert waren. Einige der Betroffenen konnten durch ihre bei der Prüfung vorgelegten Studien-Ausweise identifiziert werden. Insgesamt nahmen an der Prüfung sechs Klassen mit jeweils 26 Personen teil. Die polnische Datenschutzbehörde verhängte eine DSGVO-Strafe von 5.498,- €. Das interessante an dieser Entscheidung ist, dass das Bußgeld nicht aufgrund des Vorfalles an sich verhängt wurde, sondern deshalb, weil die Datenpanne nicht ordnungsgemäß und laut DSGVO-Vorschrift an die Datenschutzbehörde sowie an die Betroffenen gemeldet worden war. Einige der Studierenden erfuhren erst durch ihre Studienkollegen von dem Vorfall.
Diese Entscheidung zeigt deutlich, dass es besonders wichtig ist, die vorgeschriebene Frist einzuhalten. Eine Datenpanne muss innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde gemeldet werden. Einige prominente Fragen, die sich dazu häufig stellen, beantworten wir nun in diesem Beitrag:
Muss jede Datenpanne gemeldet werden?
Nein, eine Datenpanne muss nur dann an die Datenschutzbehörde gemeldet werden, wenn ein Risiko für Gesundheit, Ruf oder Vermögen der betroffenen Person(en) besteht. Aber auch Datenschutzverletzungen, die nicht meldepflichtig sind, müssen unbedingt unternehmensintern dokumentiert werden.
Wer informiert wen? Wer kontaktiert bei einer Datenpanne die Behörde?
Die Person im Unternehmen, die die Datenpanne zuerst bemerkt, sollte sich schnellstmöglich an die für den Datenschutz zuständige Person sowie gegebenenfalls an die Geschäftsführung wenden. Hat das Unternehmen einen Datenschutzbeauftragten, so sollte dieser im ersten Schritt kontaktiert werden. Geschäftsführung und alle für den Datenschutz zuständigen Personen entscheiden gemeinsam über die weiteren Schritte und evaluieren, ob eine Behördenmeldung sowie eine Kontaktaufnahme mit den betroffenen Personen notwendig ist.
Wie ist die Behörde nach einer Datenpanne zu kontaktieren?
Auf der Website der österreichischen Datenschutzbehörde „www.dsb.gv.at“ wird ein Formular zur Verfügung gestellt, das speziell für die Meldung von Datenpannen vorgesehen ist. Dieses wird vom Datenschutzbeauftragten oder, wenn keiner vorhanden ist, vom unternehmensinternen Datenschutzkoordinator ausgefüllt und fristgerecht, also innerhalb von 72 Stunden, abgeschickt.
Welche Informationen beinhaltet eine Behördenmeldung bei einer Datenpanne?
All diese Punkte müssen bei der Behördenmeldung angeführt werden:
- Art der Datenschutzverletzung,
- Betroffene Datenkategorien,
- Anzahl der betroffenen Personen mit den dazugehörigen Datensätzen,
- Eventuelle Folgen der Panne,
- Die Kontaktdaten eines Ansprechpartners, die des Datenschutzbeauftragten oder des Datenschutzkoordinators als auch die Kontaktdaten des Geschäftsführers,
- Beschreibung der betrieblichen Maßnahmen zur Risikoeindämmung und zukünftigen Verhütung eines solchen Vorfalls.
All diese Fragen sind im Formular auf der Webseite der österreichischen Datenschutzbehörde beinhaltet.
Unsere Praxistipps
- Bei einer Datenpanne muss schnellstmöglich die Behörde informiert werden. Setzen Sie sich sofort mit der Behörde in Verbindung und machen Sie eine Meldung.
- Kontaktieren Sie uns, wenn sich in Ihrem Unternehmen ein Datenschutzvorfall ereignet hat oder Sie dies auch nur vermuten. Wir unterstützen Sie bei allen notwendigen Schritten und leiten Sie fristgerecht und sicher durch Ihre Datenpanne.